TrueCrypt 7.0a を使用すると、最も安全な暗号化方法は、XTS 方式の AES-Twofish-Serpent カスケード暗号化を使用することです。Whirlpool ハッシュアルゴリズムを使用します。(SHA-512は僅差の2位ですが、議論の余地はあります。私はWhirlpoolに傾いています。なぜならば、SHA-512はすでに、侵害された古いSHA-1をベースにしているという懸念から、後継機が開発されているからです)。最も重要なのは、非常に強力なパスワードを使用することです。20～30文字以上、大文字、小文字、数字、記号。強度テストには、Microsoft のオンラインパスワードチェッカーを使用してください。また、Keyfilesを使ってパスワードをさらに安全にすることもできます。

私はSerpent-Twofish-AESよりもAES-Twofish-Serpentをお勧めします。この暗号化は、業界で最も標準的なものにしたいからです。さらに、あるファイルがAESで暗号化されていると仮定した場合、それがTwofishで暗号化されていることを確認する方法はありません。そしてTwofishの後にはSerpentが登場しますが、これは最大の獣です（AESよりも使われていない/テストされていないにもかかわらず、AESよりもはるかに高いセキュリティマージンを持っています）

もしKeyfilesを使うのであれば、TrueCryptに3つのkeyfileを作成してもらうことをお勧めします。彼らが提供するハッシュアルゴリズムごとに1つのキーファイルを作成してください。また、いくつかの.jpgや.mp3ファイルを追加することもできます。ただし、各キーファイルは読み取り専用にしておきましょう。

これはやりすぎかもしれません。

これらは AES コンテストの最終ラウンドでの投票結果です。

Rijndael 86-10 = 76
Serpent 59-7 = 52
Twofish 31-21 = 10
RC6 23-37 = -14
MARS 13-83 = -70

http://csrc.nist.gov/archive/aes/round2/comments/20000523-msmid-2.pdf , truecrypt serpent 経由でリンクされています。)

というわけで、いろいろな理由でRijndaelはDES(と3DES)の後継であるAESになりました。

そして、今日、news.ycombinator.comに出てきたからというだけで、AESの話。 http://www.moserware.com/2009/09/stick-figure-guide-to-advanced.html

カスケード暗号（AES-Twofish-Serpentなど）が最も安全です。あなたのデータは1つのアルゴリズムで暗号化され、そこからの出力は2番目のアルゴリズムで暗号化され、その出力は3番目のアルゴリズムで暗号化されます。TrueCryptのドキュメント](http://www.truecrypt.org/docs/?s=cascades)によると、各アルゴリズムは異なるキーを使用し、それぞれがあなたのパスフレーズから派生したものです。

これらの暗号化方式のうち1つ(または2つ)に脆弱性が見つかったとしても、攻撃者は残りの暗号化方式を破ることができないため、あなたのデータは安全であるはずです。

RijndaelがAESのコンペティションで優勝したのは、主にハードウェアへの実装が最も速くて簡単だからであって、**最も「安全」だからではありません。TwofishやSerpentは通常、より安全だと考えられていますが、これらはすべて非常に強固なものなので、非常に主観的な主張になってしまいます。そしてもちろん、複数のアルゴリズムで暗号化すれば、さらに「安全」になりますが、速度はさらに低下します。

繰り返しになりますが、これらのアルゴリズムはいずれも非常に強固なものなので、私のアドバイスとしては、あなたのマシン上で最も高速なもの（通常はAES）を使用することです。

AES-ツーフィッシュ-サーペントか、サーペント-ツーフィッシュ-AESのどちらか。しかし、通常のAESで十分です。

アルゴリズムを一緒に連鎖させると、一方を他方に追従させるために使用されるアルゴリズムのために、セキュリティが弱くなる可能性があると読んだことがあります。

さらに、結合された暗号のいずれかを使用した場合、効率と速度は大きな打撃を受けるでしょう。

私はRijndael (AES)かSerpentのどちらかをお勧めしますが、安全性を確保したいのであれば、最も重要な要素は鍵です。

複数の暗号を一緒にカスケード接続することにはいくつかの危険性がありますが、Truecrypt は可能な限りそれに対処しているようです。Truecrypt は最初の暗号の出力に既知の平文を追加せず、それぞれに独立した鍵を使用するので、異なるアルゴリズムを一緒に連結することでセキュリティを向上させることができます。

私は3DESは避けた方がいいと思います。アルゴリズムの選択肢をリストアップしたTruecryptのページを読むと、トリプルDESのリストすらないので、最近削除されたのかもしれない。

256 ビットのバリアントを仮定した場合の、それぞれのベストな公開暗号解析(時間の複雑さは高い方が良いが、様々な注意点がある):

• Rijndael: 2^254.4 の時間の複雑さ(ここでは問題にならない関連キー攻撃は無視)
• Serpent. 32ラウンドの12ラウンド、2^228.8の複雑な時間(ただし2^118の既知の平文が必要)
• Twofish: 16ラウンドの6ラウンド(ただし2^51の選択された平文が必要)
• 3DES. 注意: 3DES は 168 ビットを使用しているので、ブルートフォースは 2^256 ではなく 2^168 になります）

間違いなく 3DES が最も安全ではありませんが、だからと言って必ずしも安全ではありません（通常の未発表のバックドアの懸念を除けば）。しかし、私はそれを避けることにしています。他のすべてのアルゴリズムは一般的に安全だと考えられています。意図的に配置されたバックドアの存在を判断するには、スノーデン氏がより多くの文書を公開する必要があります。正直言って、トップ3のどれかに バックドアがあったとしたら それは絶対的な爆弾発言になるだろう 彼の実績を考えると、個人的にはそれらがまだ安全であると仮定して満足しています。

2001 年、米国標準技術研究所 (NIST) は先進暗号化標準 (AES) を立ち上げ、対抗するアルゴリズムを持つ 5 つの候補を (複数の候補会議を通じて) 最終候補に絞り込みました。Serpent 暗号はそのうちの 1 つで、高い安全性を評価されましたが、最終的には Rijndael 暗号の次点となりました。これは数年前のことですが、電子データの暗号化と性能とセキュリティの間のトレードオフについて魅力的に垣間見ることができます。興味深いことに、性能が勝ったのです。

他の 5 つの候補と比較して、Serpent 暗号は最高の安全率 3.56 を持っていましたが、次の最高の暗号が Twofish 暗号で安全率 2.67 であったことを考えると、これは非常に良いものでした。Rijndael-256 の安全率は 1.56 https://www.100tb.com/blog/security-performance-serpent-cipher-rijndael/ https://veracrypt.codeplex.com/wikipage?title=Serpent であった。

もしあなたがキーファイルを使用しているのであれば、より短いパスワードを使用することも考えられますし、もしあなたがパフォーマンスのヒットを心配していないのであれば、AES Twofish と Serpent を使用することは、暗号化された素材に侵入しようとしている人に多くの頭痛の種を引き起こすことになります。しかし、一つの暗号化されたファイルを取り、それをより大きな暗号化されたファイルの中に配置することもできることを見落とさないでください。この方法では、攻撃者が外側のコンテナを見て、彼らがコンテナ全体を持っていると思うように「許可」することができます。実際には、彼らは何も持っていないのです。外側のファイルに少し怪しげなものを入れるのは自由だが、実際に問題を起こすようなことは何もない。エロ写真のスレがうまくこの法案に当てはまると思う、ここには 誰かが隠したいと思う何かがある、そのようなものとして、あなたには いい理由がある。外側の容器は、内側の容器が存在することさえ明らかにしない。内側の容器の中にあなたの実際の材料を配置します。さらに良いのは、不十分なパスワードとキーファイルを使わずに、外側のコンテナを「弱い」ものにすることです。攻撃者に暗号化を破られたと思わせて、肩をすくめて「くそ、お前は優秀だ。

ブルートフォースを可能にするようなAESに対する攻撃は知られていないので(ref: https://en.wikipedia.org/wiki/Advanced_EncryptionStandard#Knownattacks )、3文字の機関があなたのドライブをクラックするために次の千年紀に向けて全計算能力を割くことを期待しているのでなければ、AESを利用することをお勧めします。TrueCryptの最後のバージョンとそのフォークは、AES-NIをサポートしており、私のCore i7 3770では、2.5GB/秒以上のスループットを提供しています。

このドメインが広告しているIPアドレスへの接続は、ほとんどのブラウザでAES暗号化を使用しています（ただし、CloudFlareはブラウザが見ている鍵を保持しており、StackExchangeサーバーにデータを送信する前にデータを復号化して再暗号化します）。だからStackExchangeのパスワードにTrueCrypt/VeraCrypt/CipherShedのパスワードを使うのはやめておきましょう。)

これらのアルゴリズムではWhirlpoolハッシュが最も強力なので、使用することをお勧めします。

暗号化アルゴリズムには、カスケードを使うべきです。おすすめはAES、Twofish、Serpentです。AESはかなり弱く（他のアルゴリズムと比較しても最速ですが）、業界標準なのでアウターレイヤーとして有効です。Twofishはさらに強力で、AES層を復号化した後、さらに強力な別の層（Twofish）が存在することになります。Serpentが最強であり、このカスケードが有効であることが証明されています。

いくつかのおまけ情報。パスワードについては、NSAは量子コンピュータを持っていて、非常に速く解読できる。私はNSAを信用していません（彼らはAESを設計しました）。私は最低40文字、小文字と大文字、数字、記号、辞書の単語や個人情報(生年月日など)を使わないことをお勧めします。敵対者からのリスクがある場合は、TrueCryptに組み込まれているもっともらしい反証機能を利用しましょう。

AES

Rijndael (現在のTHE AES)が最高のアルゴリズムです。

https://crypto.stackexchange.com/questions/24307/why-is-aes-unbreakable より。

まず、AESが破れないとは言われていませんが、現在知られている攻撃はどれも計算コストを実現可能なところまで削減していないだけです。もし、現在のどのコンピュータよりも数百万倍効率が良く、熱力学的ランダウアー限界で動作するコンピュータ(またはクラスタ)があったとしたら、すべてのキー値を使ってカウンタをインクリメントするのに234ペタジュールかかることになります。これはノルウェーの年間電力消費量の約半分に相当する。実際にAESラウンドを計算するには、その数倍のエネルギーを必要とします。

Twofish

[ Wikipedia ]より (https://en.wikipedia.org/wiki/Twofish).

Twofishは、ブロックサイズ128ビット、鍵サイズ256ビットまでの対称鍵ブロック暗号である。Advanced Encryption Standardコンテストのファイナリスト5人のうちの1人であったが、標準化には選ばれなかった。Twofishはそれ以前のブロック暗号Blowfishと関連している。

Twofish の特徴は、あらかじめ計算された鍵依存の S ボックスを使用していることと、比較的複雑な鍵スケジュールである。nビットの鍵の半分が実際の暗号化鍵として使用され、残りの半分は暗号化アルゴリズムの変更に使用されます（鍵依存Sボックス）。Twofishは他のデザインからいくつかの要素を借用しています。例えば、SAFER暗号ファミリの擬似ハダマード変換(PHT)などです。TwofishはDESのようなFeistel構造を採用しています。また、Twofishは最大距離分離可能行列を採用しています。

ほとんどのソフトウェアプラットフォームでは、Twofishは128ビットの鍵ではRijndael（Advanced Encryption Standardで選択されたアルゴリズム）よりもわずかに遅くなりますが、256ビットの鍵ではやや速くなります。

Serpent

[ Wikipedia ]より (https://en.wikipedia.org/wiki/Serpent_%28cipher%29).

Serpentは対称鍵ブロック暗号であり、Advanced Encryption Standard (AES)コンテストの最終選考に残っており、Rijndaelに次ぐ2位にランクされている。SerpentはRoss Anderson、Eli Biham、Lars Knudsenによって設計された。

他のAESの提出物と同様に、Serpentは128ビットのブロックサイズを持ち、128、192、256ビットの鍵サイズをサポートしている[2]。各ラウンドでは、8つの4ビットから4ビットのSボックスのうちの1つを32回並列に適用します。Serpentは、32ビットスライスを使用して、すべての操作を並列に実行できるように設計されています。これにより、並列性が最大化されますが、DESで実行される広範な暗号解析作業を利用することも可能になります。

Serpentはセキュリティに対して保守的なアプローチをとり、大きなセキュリティマージンを選択しました。設計者は、既知の攻撃タイプに対しては16ラウンドで十分であると考えていますが、暗号解析における将来の発見に対する保険として32ラウンドを指定しました。AES競争に関するNISTの公式レポートでは、RC6やRijndael（現在のAES）の十分なセキュリティマージンとは対照的に、SerpentはMARSやTwofishと並んで高いセキュリティマージンを持っていると分類されています。最終的な投票では、Serpentは最終候補の中で最も反対票が少なかったものの、Rijndaelの方がかなり多くの賛成票を得ていたため、総合的には2位となりました。

SHAはMDAやWhirpoolなどよりもはるかに優れています。しかし、彼らはSHAを破る方法を見つけた。そこにSHA-2(HMAC)が来る。ここでも彼らはそれを破る方法を見つけた。そこにSHA-3(Kakeeか何か)が来る。しかし、TrueCrypt、VeraCrypt、CipherShedまたはTrueCryptNextではSHA-3.—————————Sourceが存在しません。私の記憶の中の任意の場所 ;-)

AES-Twofish-Serpent + SHA-512 = BEST ALGORITHM AND HASH TO TrueCrypt AND OTHERS.

ざっと検索したらAES 256 bitsと出てきました。

トリプル AES とトリプルフグは避けた方が良いでしょう。同じアルゴリズムを複数回実行すると、元のアルゴリズムを一回だけ使用した場合に比べてセキュリティが低下する可能性があります。 ソース